Jump to content

Zugriff vom VPN Client ins LAN geht nicht (Cisco 876)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

sitze seit zwei Tagen an einem kleinen, bösen Problem und komme nicht weiter.

 

Folgende Situation:

 

Ich baue vom CISCO VPN Client eine IPSEC-Verbindung zum Router auf (C876 - c870-adventerprisek9-mz.124-6.T6.bin, bei einer älteren IOS-Version besteht das Problem auch)

 

Funktioniert soweit alles bestens. Ich kann vom VPN Client immer die Router-Interfaces anpingen - alles was im LAN hinter dem Router liegt jedoch nur sporadisch. Wenn der Ping dann doch mal durchgeht funktioniert er auch dauerhaft.

 

Ich kann problemlos und performant von Clients im LAN auf den VPN-Client zugreifen. Andersherum (vom VPN-Client ins LAN) funktioniert es jedoch nicht.

 

Access-Listen kann ich ausschließen, da ich sogar schon testweise mal alles auf "permit" gestellt habe. MTU usw. hab ich getestet (siehe ip tcp adjust-mss auf den Interfaces).

 

Nichts desto trotz gibt´s hier die Config. Würde mich freuen, wenn jemand eine Idee hätte.

 

Gruß Christian

 

!

! Last configuration change at 09:34:13 Berlin Thu Jun 18 2009 by

! NVRAM config last updated at 17:40:10 Berlin Wed Jun 17 2009 by

!

version 12.4

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

!

hostname xxxxxx

!

boot-start-marker

boot-end-marker

!

security authentication failure rate 3 log

security passwords min-length 6

no logging buffered

enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxx

!

aaa new-model

!

!

aaa authentication login rtr-remote local

aaa authentication login local_auth local

aaa authentication ppp default local

aaa authorization network vpn local

!

aaa session-id common

!

resource policy

!

clock timezone Berlin 1

clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00

dot11 activity-timeout unknown default 1000

dot11 activity-timeout client default 28800

no ip source-route

no ip gratuitous-arps

ip cef

!

!

!

!

ip domain name xxxxxxxxxxxxxxxxxxxxxx

ip name-server 145.253.2.11

ip name-server 145.253.2.75

ip ssh time-out 60

ip ssh authentication-retries 1

ip ssh version 2

ip inspect name firewall_1 cuseeme

ip inspect name firewall_1 dns

ip inspect name firewall_1 esmtp

ip inspect name firewall_1 ftp

ip inspect name firewall_1 ftps

ip inspect name firewall_1 h323

ip inspect name firewall_1 http

ip inspect name firewall_1 https

ip inspect name firewall_1 icmp

ip inspect name firewall_1 imap

ip inspect name firewall_1 imap3

ip inspect name firewall_1 imaps

ip inspect name firewall_1 isakmp

ip inspect name firewall_1 ntp

ip inspect name firewall_1 pop3

ip inspect name firewall_1 pop3s

ip inspect name firewall_1 realaudio

ip inspect name firewall_1 snmp

ip inspect name firewall_1 sqlnet

ip inspect name firewall_1 syslog

ip inspect name firewall_1 tcp

ip inspect name firewall_1 time

ip inspect name firewall_1 udp

ip inspect name firewall_1 wins

ip ips notify SDEE

vpdn enable

!

vpdn-group 1

! Default PPTP VPDN group

accept-dialin

protocol pptp

virtual-template 1

!

Link zu diesem Kommentar

isdn switch-type basic-net3

!

!

username xxxxxxxxxxxx password xxxxxxxxxxxxx

username xxxxxxxxxxxx password 7 xxxxxxxxxxxxxxxx

username xxxxxxxxxxx privilege 15 password 7 xxxxxxxxxxxxxxxxxx

 

!

!

!

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

crypto isakmp client configuration address-pool local vpnpool

!

crypto isakmp client configuration group vpn

key xxxxxxxxxxxxx

domain xxxxxxxxxxxxxxx

pool vpnpool

include-local-lan

split-dns dns

netmask 255.255.255.0

!

crypto ipsec security-association lifetime seconds 86400

!

crypto ipsec transform-set ts1 esp-aes esp-md5-hmac

!

crypto dynamic-map dynmap 10

set security-association idle-time 3600

set transform-set ts1

reverse-route

!

!

crypto map mymap client authentication list local_auth

crypto map mymap isakmp authorization list vpn

crypto map mymap client configuration address respond

crypto map mymap 1000 ipsec-isakmp dynamic dynmap

!

crypto map static client authentication list local_auth

crypto map static isakmp authorization list vpn

crypto map static client configuration address initiate

crypto map static client configuration address respond

crypto map static 10 ipsec-isakmp dynamic dynmap

!

bridge irb

!

!

!

interface BRI0

no ip address

encapsulation hdlc

shutdown

isdn switch-type basic-net3

isdn point-to-point-setup

!

interface ATM0

no ip address

shutdown

no atm ilmi-keepalive

dsl operating-mode auto

!

interface FastEthernet0

switchport access vlan 2

speed 10

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface Virtual-Template1

ip unnumbered BVI1

ip access-group 100 in

ip access-group 100 out

ip verify unicast reverse-path

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

ip route-cache flow

peer default ip address pool VPN

compress mppc

ppp pfc local request

ppp pfc remote apply

ppp acfc local request

ppp acfc remote apply

ppp encrypt mppe auto required

ppp authentication ms-chap ms-chap-v2

ppp ipcp dns 192.168.100.200

!

interface Dot11Radio0

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

no ip route-cache cef

no ip route-cache

shutdown

!

broadcast-key change 300 membership-termination

!

!

encryption mode ciphers tkip

!

ssid xxxxxxxxxxxxxxxx

max-associations 5

authentication open

authentication key-management wpa

wpa-psk ascii xxxxxxxxxxxxxxxxxxxxxxxx

!

speed basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0

rts threshold 2312

station-role root

payload-encapsulation dot1h

dot1x reauth-period server

no cdp enable

bridge-group 1

bridge-group 1 subscriber-loop-control

bridge-group 1 spanning-disabled

bridge-group 1 block-unknown-source

no bridge-group 1 source-learning

no bridge-group 1 unicast-flooding

!

interface Vlan1

no ip address

bridge-group 1

!

Link zu diesem Kommentar

interface Vlan2

description Arcor IB 2000/192 static

ip address xxxxxxxxxxx xxxxxxxxxxxxxxx

ip access-group 100 in

ip access-group 100 out

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1300

crypto map static

!

interface BVI1

description LAN/WLAN Segment xxxxxxxxxxxxxxxxxxx

ip address 192.168.100.200 255.255.255.0

ip access-group 100 in

ip access-group 100 out

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip inspect firewall_1 in

ip virtual-reassembly

ip route-cache flow

ip tcp adjust-mss 1300

!

ip local pool IPSEC 10.0.5.1 10.0.5.10

ip local pool VPN 10.10.10.10 10.10.10.20

ip local pool vpnpool 10.10.12.1 10.10.12.5

ip local pool vpnpool 10.10.12.10 10.10.12.100

ip route 0.0.0.0 0.0.0.0 "WAN-Gateway"

!

ip dns server

!

no ip http server

no ip http secure-server

ip nat inside source route-map NAT_DSL interface Vlan2 overload

ip nat inside source static tcp 192.168.100.10 1175 xxxxxxxxxxxxx 1175 extendable

!

ip access-list extended IPSEC

permit ip 10.0.5.0 0.0.0.255 any

!

logging trap debugging

logging xxxxxxxxxxxxxx

access-list 1 permit 192.168.100.0 0.0.0.255

access-list 2 permit "WAN-Netz" xxxxxxxxxxxxx

access-list 4 permit 10.10.12.0 0.0.0.255

access-list 5 permit 10.10.10.0 0.0.0.255

access-list 100 remark ACL General LAN / WAN

access-list 100 permit ip any any

access-list 100 permit tcp any any

access-list 100 permit udp any any

access-list 100 permit ip 10.10.12.0 0.0.0.255 any

access-list 101 permit tcp any any eq domain

access-list 101 permit udp any any eq domain

access-list 101 permit tcp any any eq echo

access-list 101 permit tcp any any eq ftp

access-list 101 permit tcp any any eq ftp-data

access-list 101 permit tcp any any eq pop3

access-list 101 permit tcp any any eq smtp

access-list 101 permit tcp any any eq cmd

access-list 101 permit tcp any any eq whois

access-list 101 permit tcp any any eq www

access-list 101 permit tcp any any eq 443

access-list 101 permit udp any any eq 443

access-list 101 permit tcp any any eq 22

access-list 101 permit udp any any eq non500-isakmp

access-list 101 permit udp any any eq isakmp

access-list 101 permit icmp any any

access-list 101 permit udp any any eq bootps

access-list 101 permit tcp any any eq 3389

access-list 101 permit udp any any eq ntp

access-list 101 permit tcp any any eq 1723

access-list 101 permit gre any any

access-list 101 permit tcp any any eq 3306

access-list 101 permit tcp any any eq 6789

access-list 101 permit tcp any any eq 1099

access-list 101 permit udp any any eq 4288

access-list 101 permit tcp any any eq 3128

access-list 101 permit esp any any

access-list 101 permit tcp any any eq 3544

access-list 101 permit udp any any eq 3544

access-list 101 remark xxxxxxxxxxxxxxxxxxxxxxx

access-list 101 permit tcp any any eq 1175

access-list 101 permit udp any any eq 1175

access-list 101 permit udp any any eq syslog

access-list 110 permit ip 192.168.100.0 0.0.0.255 any

access-list 110 permit ip 10.10.10.0 0.0.0.255 any

access-list 110 permit ip 10.10.12.0 0.0.0.255 any

!

!

!

route-map NAT_DSL permit 10

match ip address 110

match interface Vlan2

!

!

control-plane

!

bridge 1 protocol ieee

bridge 1 route ip

Link zu diesem Kommentar

Hallo,

 

konnte das Problem nach etlichen Test´s beheben.

 

Wen´s interessiert:

 

Es lag am NAT. In der Config ist das "externe" Interface auf dem auch der Tunnel terminiert auf "ip nat outside" gestellt. Dadurch wurden die Anfrage aus dem Tunnel bzw. die Antworten falsch übersetzt. Nach Entfernung des Befehl´s ging es dann einwandfrei. So ein dummer Fehler...

 

Wenigstens habe ich mich mal drei Tage intensivst mit Cisco VPN beschäftigt :D

 

Gruß Christian

Link zu diesem Kommentar

Wir reden eh vom selben.

 

Wenn du in der ACL 110 vor

access-list 110 permit ip 192.168.100.0 0.0.0.255 any

access-list 110 permit ip 10.10.10.0 0.0.0.255 any

access-list 110 permit ip 10.10.12.0 0.0.0.255 any

 

deny ip Client Netze -> VPN Netz konfigurierst, wird dieser Traffic nicht genattet.

 

Du kannst es aber auch über die Route-map machen

 

Eine ACL erstellen zb 199

permit ip Client Netze -> VPN Netz

 

route-map NAT_DSL deny 5

match ip address 199

 

lg franz

Link zu diesem Kommentar

Hallo,

 

vielen Dank blackbox und Franz2 für eure Antworten.

Das NAT für das VPN-Netz habe ich dann noch verboten - konnte den "ip nat outside" erstmal ohne Probleme rausnehmen (läuft in einer Testumgebung).

 

Mir stellt sich jetzt noch folgendes Problem:

 

Wenn ich vom VPN Client ins Internet möchte bekomme ich keine Verbindung (Internetzugang soll explizit über den VPN-Router laufen).

 

Der Router "NATtet" die Pakete vom VPN-Netz zum Outside-Interface nicht, weil er nicht weis, dass er sie natten soll. Ich kann ja z. B. im VLAN 1-Interface (LAN) per "ip nat inside" festlegen, dass dies ein internes Interface ist. Folglich weis der Router, dass dieser Traffic überhaupt für NAT interessant ist.

 

Da der IPSEC-Tunnel ja aber nicht auf ein spezifisches Interface terminiert (so wie z. B. ein PPP-Tunnel auf ein VirtualTemplate) kann ich kein "ip nat inside" setzen.

 

Wie sage ich dem Router also, dass der Traffic aus 10.10.12.0 (als quasi internes Netz) für NAT interessant ist (die Router-Config ist bis auf die Änderungen von franz2 gleich geblieben)?

 

Schönen Sonntag noch :)

 

Danke & Gruß

Link zu diesem Kommentar

Guten Morgen,

 

nur noch mal zum besseren Verständnis hier die aktuelle Config:

 

externes Interface (hier terminiert der IPSEC-Tunnel):

 

interface Vlan2

description Arcor IB 2000/192 static

ip address xxx.xxx.xxx.194 255.255.255.248

ip access-group 100 in

ip access-group 100 out

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1272

crypto map static

 

internes Interface:

 

interface BVI1

description LAN/WLAN Segment xxxxxxx

ip address 192.168.100.200 255.255.255.0

ip access-group 100 in

ip access-group 100 out

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip inspect firewall_1 in

ip virtual-reassembly

ip route-cache flow

ip tcp adjust-mss 1300

 

NAT:

 

ip nat inside source route-map NAT_DSL interface Vlan2 overload

 

access-list 110 deny ip 192.168.100.0 0.0.0.255 10.10.12.0 0.0.0.255

access-list 110 permit ip 192.168.100.0 0.0.0.255 any

access-list 110 permit ip 10.10.10.0 0.0.0.255 any

access-list 110 permit ip 10.10.12.0 0.0.0.255 any

!

route-map NAT_DSL permit 10

match ip address 110

match interface Vlan2

 

Der Zugriff vom Client ins LAN und umgekehrt funktioniert einwandfrei.

Nur ins Internet geht´s eben nicht. Nach meinem dafürhalten deshalb, weil ich dem Router nicht sagen kann, dass der Traffic aus 10.10.12.0 (sofern er ins Internet geht) für NAT interessant ist.

 

Ich müsste dem Router ja irgendwie sagen können, dass 10.10.12.0 ein "internes Interface für NAT" ist (wie bei VLAN 1 auch). Nur kann ich ja für die 10.10.12.0 (quasi das VPN-Interface) nirgendwo "ip nat inside" setzen, da ich kein (virtuelles) Interface für den VPN-Tunnel habe (oder sehe ich das vollkommen falsch?).

 

Bei einem PPTP-VPN das auf dem gleichen Router funktioniert das einwandfrei, da ich hier die Möglichkeit habe im Virtual-Template "ip nat inside" zu setzen:

 

interface Virtual-Template1

ip unnumbered BVI1

ip access-group 100 in

ip access-group 100 out

ip verify unicast reverse-path

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

ip route-cache flow

peer default ip address pool VPN

compress mppc

ppp pfc local request

ppp pfc remote apply

ppp acfc local request

ppp acfc remote apply

ppp encrypt mppe auto required

ppp authentication ms-chap ms-chap-v2

ppp ipcp dns 192.168.100.200

 

Bitte korrigiert mich wenn ich da was falsch sehe.

 

Danke & Gruß

Link zu diesem Kommentar

Hallo,

 

konnte das Problem jetzt lösen. Speziell für solche Anwendungsfälle gibt es bei Cisco ein Feature das sich "hairpin routing" nennt.

 

Router and VPN Client for Public Internet on a Stick Configuration Example - Cisco Systems

 

Hier wird der Internet-Traffic per "ip policy" über ein loopback-Interface umgeleitet in dem man dann "ip nat inside" setzen kann. Funktioniert wunderbar.

 

Gruß & Danke

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...